足迹识别(footprinting),又称为“网络踩点”,是网络安全运营人员、渗透测试人员甚至攻击者都会经常采用的一种方法,主要用于收集有关目标企业的网络活动信息,以识别潜在的安全漏洞。
在实际安全运营工作中,足迹识别往往作为收集组织威胁态势情报的第一步,通过扫描开放端口、绘制网络拓扑图以及收集有关主机、操作系统、IP地址和用户账户等信息,可以深入了解组织的目标系统。使用足迹识别,网络安全研究人员可以定位现有漏洞并评估组织的安全状况,而攻击者则会根据新发现的漏洞制定相关攻击活动计划。
足迹识别的类型
根据不同的方法和技术组合以及与目标系统的交互程度,可以对网络安全足迹识别进行以下分类:
足迹识别的方法
网络安全专业人员可以采用以下足迹识别方法,收集目标组织的详细足迹信息:
搜索引擎——使用主流搜索引擎中的高级搜索运算符以及视频、FTP和物联网搜索引擎,收集关于企业组织的公开可用信息,防止社会工程攻击。还可以使用高级的搜索黑客技术,并参考Google等黑客数据库(GHDB)来探测敏感信息和潜在的服务器漏洞。
Web服务——可以利用许多在线平台进行足迹识别,例如人员搜索引擎、金融服务、商业概述网站、职位网站和公开源代码存储库。这些平台提供了丰富的数据,可以用于分析用户行为、推荐个性化内容和服务,并为企业和组织提供更精确的目标定位和广告投放。
社交网站——可以通过员工在社交网站上公开发布的信息收集到有价值的个人和组织信息。这些信息可以用于社交工程、市场调研、竞争情报等方面,能够整合和分析社交媒体数据,揭示用户的兴趣、偏好、社交关系等,从而提供更准确的用户画像和目标定向。很多企业和组织也会通过这种方式来更好地了解其目标受众,并制定针对性的营销和策略。
网站收集——该技术监视和分析目标网站的信息,包括IP地址、域所有者、域名、子目录、参数、站点主机、脚本平台和操作系统详细信息。这类技术使用多种工具,比如网站爬虫、网站镜像、监视工具和网络数据提取工具。通过对目标网站的信息进行监控和分析,能够获取有关网站结构、技术架构和运行环境的详细了解。
电子邮件——使用电子邮件跟踪工具和分析电子邮件头部,可以获取发件人和收件人的IP地址、地理位置、路由路径、代理、链接、操作系统和浏览器信息。这类足迹识别技术可以帮助企业识别可疑的邮件来源,检测钓鱼邮件和恶意链接,并提供更准确的邮件过滤和安全防护。还可以帮助企业了解邮件的传播路径和接收者的行为习惯,从而改进邮件营销策略、提高邮件交付率和用户参与度。
WHOIS—— WHOIS提供当前的域名和所有者详细信息,提供诸如域名、所有者联系信息、创建日期和公共网络范围之类的信息,可以为企业组织开展市场调研、品牌保护和网络安全预防提供支持。
域名系统(DNS)——DNS记录提供了所选择网络的区域数据,比如IP地址、域的邮件服务器、CPU类型和操作系统等。可以通过DNS询问和反向DNS查找方法获取DNS信息。通过分析DNS信息,足迹识别技术可以提供更详细的网络拓扑图、服务器配置信息和网络架构视图,从而有助于网络安全评估、系统优化和网络调查等领域的工作。
网络足迹识别——通过分析网络IP范围,有助于了解目标网络的大小、分布和组织结构。利用路由跟踪数据,可以追踪数据包在网络中的传输路径,从而获取目标网络的拓扑结构。包括了解该网络中的路由器、交换机和其他网络设备的布局和连接方式。
社会工程——一些攻击者也会通过窃听、背后偷窥和冒充等社会工程伎俩获得敏感数据。
实施足迹识别的步骤
通过了解目标组织的技术架构和潜在安全风险,可以采取相应的措施,从而提高信息化系统的安全性。在足迹识别过程中一般会遵循四个关键步骤,以收集重要信息。
目标识别。第一步是识别目标组织和其系统,以便进行足迹识别。这可以通过扫描网络以查找开放端口,或使用像Shodan和Censys这样的物联网搜索引擎来完成。在这个阶段,主要目标是识别出目标系统的关键信息和网络架构。
信息收集。在此阶段,主要收集与目标组织相关的重要信息,包括获取目标的IP地址、开放端口和服务、用户名和密码等敏感数据。企业可以利用各种技术和工具,如网络扫描、漏洞扫描、社交工程等,来完成这些信息的收集工作。
结果分析。在此阶段主要是分析提取的数据,以寻找潜在的漏洞和安全弱点,或者将结果与已知漏洞进行比对,以确定可能的攻击路径。
模拟进攻规划。足迹识别的最后一个阶段,就是根据之前收集到的数据,模拟定制一些可用的攻击利用或选择合适的攻击向量,以侵入易受攻击的系统。攻击规划可能包括制定攻击策略、选择合适的工具和技术,并考虑如何最大限度地利用发现的漏洞。
防御足迹识别攻击的建议
网络安全是一个持续的过程,需要定期检查和改进安全措施,以适应不断变化的威胁环境。为增强系统的安全性,企业可以参考以下防御建议,来减少足迹识别攻击的风险:
使用防火墙限制不必要的网络流量,包括设置规则,以防止未经授权的DNS流量,以及限制ICMP ping请求。
监控安全事件和日志文件,以查找可疑流量、畸形的DNS查询和所使用的高级搜索参数。
使用代理服务器阻止碎片化或畸形的数据包,这类数据包常用于足迹识别活动。
对IP地址空间进行TCP、UDP和ICMP扫描,以评估网络漏洞,提前发现敞开的端口。
设置DNS记录,确保日志信息是私密的。
确保只有获得授权的用户才能访问系统上的重要端口和服务。
聘请信誉良好的渗透测试人员帮助识别安全缺口。
定期监测和更新漏洞,以保护系统免受攻击。
本文来源:安全牛